次の方法で共有

管理と API の概要

  • [アーティクル]

適用対象:

Defender for Endpoint では、お客様がプラットフォームを簡単に採用できるように、さまざまな展開、構成、レポートオプションがサポートされています。 お客様の環境と構造が異なる可能性があることを認識し、Defender for Endpoint は、さまざまな顧客の要件に合わせて柔軟性ときめ細かい制御を使用して作成されました。 Defender for Businessは、特に中小企業向けに設計された同様の機能を提供します。

エンドポイントオンボードとポータル アクセス

デバイスオンボードは、クライアント デバイスのMicrosoft IntuneとMicrosoft Configuration Managerに完全に統合されています。 Microsoft Defender ポータルを使用して、クライアント デバイスとサーバー デバイスの両方をオンボードできます。 または、サーバーの場合は、Defender for Endpoint および Defender for Businessと統合された Defender for Cloud を使用できます。 (サーバー ライセンスが必要です。詳細については、「Defender for Endpoint へのサーバーのオンボード」および「デバイスをDefender for Businessにオンボードする」を参照してください)。

Microsoft Defender ポータルを使用すると、セキュリティ チームは、構成、デプロイ、監視のための堅牢でエンドツーエンドのエクスペリエンスを提供します。 さらに、Microsoft Defender for Endpointでは、デバイスの管理に使用されるグループ ポリシーやその他の Microosft 以外のツールがサポートされています。

Defender for Endpoint では、ロールベースのアクセス制御 (RBAC) の柔軟性を利用して、ポータルへのアクセス権を持つユーザーが表示および実行できる内容をきめ細かく制御できます。 RBAC モデルでは、セキュリティ チーム構造のすべての種類がサポートされています。

  • グローバルに分散された組織とセキュリティ チーム
  • 階層化されたモデルセキュリティ運用チーム
  • 1 つの一元化されたグローバル セキュリティ運用チームを使用して、完全に分離された部門

使用可能な API

Defender for Endpoint は、統合対応プラットフォームの上に構築されています。

Defender for Endpoint は、一連のプログラム API を通じて、そのデータとアクションの多くを公開します。 これらの API を使用すると、Defender for Endpoint 機能に基づいてワークフローを自動化し、イノベーションを行うことができます。 Defender for Businessでサポートされている機能のDefender for Businessで Defender for Endpoint API を使用することもできます。

Microsoft Defender for Endpointで使用可能な API と統合

Defender for Endpoint API は、次の 3 つにグループ化できます。

  • Microsoft Defender for Endpoint API
  • 生データ ストリーミング API
  • SIEM 統合

Microsoft Defender for Endpoint API

Defender for Endpoint は、構造化された明確で使いやすいモデルでデータと機能を公開する階層化された API モデルを提供します。これは、ユーザーまたは SaaS アプリケーションのコンテキストでアクセスを許可する標準の Azure AD ベースの認証および承認モデルを介して公開されます。 API モデルは、エンティティと機能を一貫した形式で公開するように設計されています。

Defender for Endpoint の API の概要については、このビデオをご覧ください。

調査 API では、Defender for Endpoint の豊富さを公開します。通常はエンティティに関連する動作を記述する計算済みエンティティまたは "プロファイル済み" エンティティ (デバイス、ユーザー、ファイルなど) と個別のイベント (プロセスの作成やファイルの作成など) を公開し、調査インターフェイスを介したデータへのアクセスを可能にし、クエリベースのデータへのアクセスを許可します。 詳細については、「 サポートされている API」を参照してください。

Response API では、サービスとデバイスでアクションを実行する機能が公開されており、ユーザーがインジケーターを取り込み、設定、アラートの状態を管理したり、デバイスをネットワークから分離したり、検疫ファイルなどの応答アクションをプログラムで実行したりできます。

生データ ストリーミング API

Defender for Endpoint 生データ ストリーミング API を使用すると、お客様は、1 つのデータ ストリーム内で発生したリアルタイムのイベントとアラートをインスタンスから出荷でき、待機時間が短く、スループットの高い配信メカニズムが提供されます。

Defender for Endpoint イベント情報は、長期的なデータ保持のために Azure Storage に直接プッシュされるか、視覚化サービスやその他のデータ処理エンジンで使用するためにAzure Event Hubsされます。

詳細については、「 生データ ストリーミング API」を参照してください。

新しいMicrosoft Defender XDR ストリーミング API には、デバイス イベントに加えて、電子メール イベントとアラート イベントが含まれています。 詳細については、「Microsoft Defender XDR ストリーミング API」を参照してください。

SIEM API

セキュリティ情報とイベント管理 (SIEM) 統合を有効にすると、SIEM ソリューションを使用するか、検出 REST API に直接接続することで、Microsoft Defender XDRから検出をプルできます。 これにより、事前に設定された値を使用して SIEM コネクタアクセスの詳細セクションがアクティブになり、アプリケーションがMicrosoft Entra テナントの下に作成されます。

ヒント

さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティ (Microsoft Defender for Endpoint Tech Community) にご参加ください。